办公内网高级威胁防护方案

背景与需求

随着攻击者的手段的多样化,攻击者由传统的“某个人”单一的攻击手段转变为“一个组织”利用先进的攻击手段对特定目标进行长期持续性网络攻击,难以防御,这种攻击主要采用现有检测体系难以检测的技术(0DAY漏洞、NDAY漏洞、已知漏洞变形、特种木马等),组合各种包括社会工程学、钓鱼、供应链植入等在内的多重手段,有针对性地对目标发起攻击,而基于事后签名机制的传统产品如IPS、IDS、杀毒软件 、防毒墙、安全网关等,在面对这种攻击时,这种事后签名机制几乎全部失效。当用户遇到互联网的非法攻击和入侵的时候,势必对各应用系统产生影响,造成访问效率下降、业务停滞、机密数据遭到窃取和破坏、办公网大片的僵尸主机、网络拥堵等状况。

解决方案

根据等保建设要求,在办公网出口的流量,采用旁路的部署的方式,部署在XX机构互联网区核心出口处,帮助XX机构全面透视办公网中夹杂的攻击流量,掌控全局安全态势,维护XX机构的网络的安全运行。

整个方案由一台铁穹设备组成。在企业办公网络出口的交换机上,旁路部署铁穹防护系统,对办公网络进行安全检测。

方案功能

1、恶意文件攻击检测
  • 对流量中邮件收发、文件上传下载及传播、网站访问等应用中的各类文件进行还原,使用机器学习、虚拟化漏洞检测等引擎分析其中是否包含已知/未知漏洞的攻击行为
2、钓鱼邮件/网站攻击检测
  • 对流量中的伪造钓鱼邮件、钓鱼网站等结合社工攻击的典型APT攻击方式进行检测
3、已知/未知恶意代码活跃行为检测
  • 采用多种动态及静态检测技术对流量中各类已知/未知恶意代码(木马、僵尸、蠕虫、WEBSHELL等)的传播、植入、活跃的全过程活动行为进行深度分析和预警
4、失陷主机定位
  • 基于木马、后门等的外联通信行为检测,快速定位内网被攻陷的主机和威胁源
5、受控情况分析
  • 针对常见的木马、后门家族,解析其流量行为中的通信协议,分析对失陷主机发起的数据窃取、文件篡改、内网渗透等各种远控指令
6、威胁关联分析
  • 在海量威胁和线索数据的基础上,进行基于Killchain攻击链、行为模式、场景和资产等关联分析,挖掘隐蔽的高级威胁及攻击行为
7、攻击事件预警
  • 对上述攻击事件进行实时预警,给出威胁类型、程度、威胁源、受害者、发现方式等信息
8、可视化分析和态势感知
  • 多维可视化分析和呈现视角。支持时间、地理位置的场景维度;支持攻击事件、重点资产、杀伤链、实体关系、时间线等微观分析维度;支持趋势、分布、排名、统计等宏观分析视角

方案特点

1、全方位的APT攻击检测
  • 能为用户检测到已知漏洞攻击和0day攻击,帮忙用户发现真正的黑客攻击
  • 能为用户检测到已知和未知木马攻击行为,解决网路中已经存在的攻击行为
  • 通过文件威胁检测,识别恶意邮件、恶意文件攻击,全方位的发现APT攻击
2、提供高级分析服务
  • 对于用户无法确定的攻击行为和攻击样本,可提供高级技术支持,协助用户对攻击进行分析,用以对抗高技术的网络攻击行为